Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Seguridad informática y de las telecomunicaciones

No description
by

Pablo Brezmes Fernandez

on 12 May 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Seguridad informática y de las telecomunicaciones

Un nuevo paradigma

Infrastructure as a Service (IaaS)

Platform as a Service (PaaS)

Software as a Service (SaaS) Seguridad
de la información Seguridad 2.0: La nube Gracias por vuestra atención La seguridad es un contínuo. Y una cosa más... La seguridad empieza por el sentido común Introducción y preguntas clave

Estrategia de seguridad Comunicaciones - modelo OSI
Amenazas físicas
Redes de área local y redes wifi
Seguridad en internet y en los programas
Las cookies... ¿una amenaza?
Problemas comunes
Soluciones. Estrategia Amenazas y soluciones Confidencialidad
Integridad
Autenticación
No repudio
Control de acceso
Disponibilidad ¿Cuál es el objetivo? Llamadas
SMS
Correos electrónicos
Contratos de la unidad de red
Los datos de mi cartera de clientes
El ERP de mi empresa
Una web de comercio electrónico
Una red social
... ¿Qué es lo que queremos securizar? A nadie
A mis empleados
A mi competencia
A un grupo de delincuentes
A un montón de teenegers cabreados ¿A quién le interesa mi información? ¿Qué valor tiene mi información Estrategia acorde con la importancia de nuestra información, su riesgo y nuestra capacidad Pero la seguridad... No genera más ingresos
No agiliza el trabajo ni los procesos
Requiere realizar inversiones
... Estrategia clara y bien definida Análisis de activos Estrategia de Seguridad Análisis de amenazas (P) Análisis de impacto (BIA) Plan de Acción Asumir
Mitigar
Transferir ¿Qué hacemos con el Riesgo? Apoyo decidido de la dirección Proyectos para mitigar riesgos
Normativas y procedimientos
Controles periódicos y comités Firewalls
IDS / IPS
Honeypots / nets
Monitorización
Correlación de logs
WAF Ventana de pérdida de datos Identificación dependencias entre servicios Valoración de los diferentes tipos de impacto Impacto por indisponibilidad temporal Identificación de servicios más críticos Amenazas por tipo de activo Costes Social engineer toolkit Comunicación Funciona como un almacén Robo Amenazas físicas Inundación Catástrofes naturales Fallos de funcionamiento Corte eléctrico Redes LAN y Wifi Sniffers - robo de información personal Accesos no autorizados Redundancia Control de aceso Cifrado Autenticación
p.e Radius ¡Siempre WPA2 con contraseñas muy largas!¡ MAC Filtering SSID oculto Internet y programas Vulnerabilidades
Inyección de código, .. Virus y troyanos.
Keyloggers.
Botnets Amenazas externas Amenazas internas. Denegación de Servicio
Ataques fuerza bruta
Suplantación
Sniffing Ingeniería Social. Robo de información
Acceso no autorizado Phishing
Spam con adjuntos
Información personal Seguridad de las cookies Almacenan actividad del usuario en una página web
No transmiten virus
Pueden contener información sensible con un nivel de protección bajo
Permiten esbozar un perfil del usuario
Riesgo de secuestro de sesión Soluciones Cifrado Bastionado Autenticación y control de acceso Procedimientos y
normativas Simétrico
Asimétrico SSL, SSH, Firma electrónica, .. Captchas Política de contraseñas, autenticación multifactor Antivirus y antispam actualizado SW y firmware siempre actualizado Anticípate Auditorías, pentesting Problemas comunes Páginas fraudulentas para robo de información personal
Spam con adjuntos infectados
Envío desde correos falsos Gmail Desconocimiento
Falta de concienciación
Demasiadas contraseñas
La misma contraseña en todos servicios
Exceso de permisos
Administración contínua->Coste elevado
Uso de ofimática Gestión de identidad ¿Es segura la nube? La seguridad absoluta no existe La seguridad también se externaliza:
Evaluación de proveedores cloud
TOS y SLAs
Confidencialidad
Safeharbour
Bring Your Own Device. Virtualización.
Firma electrónica. Comunicaciones certificadas. Seguridad 2.0 Caso de estudio: ConfirmSign De la gran empresa a millones de usuarios Caso práctico:
Estrategia de seguridad 1. Ficha de pacientes de una clínica dental 2. Área de clientes de una operadora móvil Análisis de activos
Amenazas y riesgos
Análisis de impacto sobre negocio
Plan de acción Impacto por indisponibilidad
Ventana de pérdida de datos
Full transcript